Bulletin-ID
Senast uppdaterad den
5 nov. 2021
Säkerhetsuppdateringar för Adobe Experience Manager | APSB21-82
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB21-82 |
den 14 september 2021 |
2 |
Sammanfattning
Berörda produktversioner
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla |
| 6.5.9.0 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla | 2 | Versionsinformation |
6.5.10.0 |
Alla |
2 |
AEM 6.5 Service Pack versionsinformation |
Obs!
Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.
Obs!
Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktigt |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Felaktig validering av indata (CWE-20) |
Denial-of-service för program |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Felaktig validering av certifikat (CWE-295) |
Åsidosättning av säkerhetsfunktion |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Cross-site Scripting (XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktig |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Uppdateringar av beroenden
| Beroende |
Sårbarhetens inverkan |
Berörda versioner |
| Iodash |
Exekvering av godtycklig kod |
AEM CS AEM 6.5.9.0 och tidigare |
| Apache Sling | Path traversal | AEM CS AEM 6.5.9.0 och tidigare |
| Jetty |
Överbelastning |
AEM CS AEM 6.5.9.0 och tidigare |
| Jackson-Databind |
Okontrollerad allokering av byte-buffert |
AEM CS AEM 6.5.9.0 och tidigare |
Tack
Adobe tackar Lorenzo Pirondini (vid Netcentric, A Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) och Eckbert Andresen (CVE-2021-42725) för att har rapporterat de här problemen och för samarbetet med Adobe i säkerhetsfrågor.
Revisioner
27 september 2021: Uppgifterna om erkännande av CVE-2021-40711 och CVE-2021-40712 har uppdaterats.
4 oktober 2021: CVE-2021-40711 har uppdaterats för CVSS-basresultat, vektor och allvarlighetsgrad.
28 oktober 2021: Information om CVE-2021-42725 har lagts till.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
